Защита персональных данных

Компания СКБ Контур всегда уделяла особое внимание защищенности своих программных решений и их соответствию требованиям безопасности информации. 

При разработке программ Контур.Персонал, Контур.Персонал Медицина и Контур.Персонал Госслужба были изначально учтены все требования, предъявляемые к защите информации конфиденциального характера, в том числе персональных данных, обрабатываемых с помощью данных программных продуктов.

Функциональные возможности программного продукта Контур.Персонал

Ограничение доступа к персональным данным, обрабатываемым в системе

До начала работы с программными продуктами для всех пользователей в системе заводятся уникальные учетные записи. Для всех учетных записей задаются пароли (к паролям предъявляются требования сложности).

Таким образом, осуществляется учет лиц, допущенных к обработке персональных данных, а доступ к данным возможен только для авторизованных пользователей при введении имени пользователя и сложного пароля.

Разграничение доступа пользователей к персональным данным, обрабатываемым в системе

В наших программных продуктах есть возможность разграничения доступа пользователей к разным категориям обрабатываемых персональных данных.

Принцип назначения прав заключается в том, что пользователю либо группе пользователей даются права доступа к определенным объектам.

Например, можно создать группу пользователей, которые могут работать только со штатным расписанием, видеть карточки сотрудников (фамилию, имя, отчество, исполняемые должности, оплату труда), но эти пользователи не будут иметь прав на редактирование личной информации в карточке сотрудника, кроме информации по исполняемой должности и видам начислений и удержаний.

Обеспечение целостности программных продуктов

Для исключения подмены исполняемых файлов и файлов библиотек либо встраивания в них вредоносного ПО, в наших программных продуктах предусмотрен контроль целостности (неизменности) таких файлов при каждом запуске. В случае выявления нарушения целостности ключевых файлов пользователь уведомляется об этом для принятия дальнейших мер, доступ к программе разрешается только администратору. Имеется также возможность автоматического восстановления измененных файлов.

Регистрация событий в журнале безопасности

В целях своевременного выявления нарушений при обработке персональных данных предусмотрена регистрация всех событий, связанных с доступом к персональным данным.

Все регистрируемые события заносятся в журналы регистрации. В них, в частности, фиксируются следующие события:

  • успешный либо неуспешный вход пользователя в систему;
  • факты обращения пользователей к персональным данным;
  • запросы пользователей на получение персональных данных;
  • вывод на печать документов, содержащих персональных данные.

Для обеспечения возможности анализа зафиксированных событий доступны поиск, фильтр событий, а также возможность экспорта журналов регистрации.

Обезличенное хранение персональных данных

В качестве дополнительной меры защиты персональных данных от несанкционированного доступа, в наших продуктах применяется обезличивание персональных данных при хранении. Данная мера реализована на уровне проектирования специальной структуры базы данных, использующейся в наших продуктах.

Резервное копирование

Для предотвращения случайного или умышленного повреждения или удаления базы персональных данных в наших программных продуктах предусмотрена возможность создания резервной копии этих баз данных с возможностью восстановления. При этом возможна настройка периодичности создания резервных копий.

Необходимость сертификации

По решению Федеральной службы по техническому и экспортному контролю (ФСТЭК) с 15.03.2010 года часть документов, которые предъявляли весьма строгие требования к защите информационных систем персональных данных (ПДн) прекратили действие, а требования по сертификации прикладного программного обеспечения (ПО) были снижены.

Сегодня сертификация ФСТЭК проводится, когда необходимо подтвердить соответствие ПО требованиям защиты информации. Обычно сертифицируют средства защиты, реже ПО общего назначения со встроенными средствами защиты, например от несанкционированного доступа к информации.

Так, сертификация ПО для кадрового и бухгалтерского учета необязательна, однако для обеспечения защиты персональных данных нужно провести аттестацию информационной системы или оценку эффективности принимаемых мер безопасности.

В каких случаях необходимо использовать сертифицированные программные продукты кадрового учета?

Строгой необходимости применять сертифицированные решения для кадрового учета нет. Владелец информационной системы вправе сам выбрать ПО.

Согласно ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»  безопасность персональных данных обеспечивают:

  • применение сертифицированных средств защиты информации (СЗИ);
  • оценка эффективности принимаемых мер или аттестация информационной системы.

Сертифицированные программные продукты кадрового учета объединяют в себе оба требования и потенциально могут заменить необходимую комбинацию сертифицированные СЗИ + оценка эффективности (или аттестация). Однако это может как избыточно, так и недостаточно.

Избыточно. При невозможности технически реализовать меры безопасности, указанные в Приказе ФСТЭК РФ от 18.02.2013 № 21, и с учетом экономической целесообразности в информационных системах персональных данных (ИСПДн) предприятия могут применять иные способы нейтрализации актуальных угроз безопасности ПДн.

Таким образом, организация вправе при обработке ПДн использовать несертифицированные средства защиты, если они способны нейтрализовать угрозы и доказали свою эффективность.

Недостаточно. Если для обеспечения безопасности обязательно применять сертифицированные СЗИ, то владелец информсистемы должен убедиться, что выбранная программа кадрового учета сертифицирована именно по актуальным типам угроз. Например, ПО с защитой от несанкционированного доступа к информации не поможет избежать угроз, связанных с вирусными атаками — для этого нужны сертифицированные средства антивирусной защиты.

Какие существуют ограничения при использовании сертифицированных программных продуктов кадрового учета?

Есть ряд ограничений, которые требуют дополнительных затрат и работ по сопровождению:

  1. Сертификат выдается только на конкретную версию/платформу ПО и действует не более трех лет. Новую версию с расширенными возможностями придется оплачивать дополнительно.
  2. Сертифицированная версия ПО часто стоит дороже простой, ведь в ее стоимость включены затраты на сертификацию.
  3. Процедура сертификации существенно увеличивает время выпуска обновлений, что может быть критично в сфере обеспечения безопасности.
  4. Сертифицированное ПО требует дополнительных организационных мер по учету и сопровождению.​

Дополнительные средства защиты

Независимо от того, какое ПО предприятие использует для обработки персональных данных, иногда необходимы дополнительные сертифицированные средства для защиты информации на уровне операционной системы (например, SecretNet, Страж NT, БлокХост и т п.).

В зависимости от структуры информационной системы, технологии обработки ПДн, наличия выхода в интернет могут потребоваться средства антивирусной защиты, межсетевого экранирования, обнаружения вторжений, анализа защищенности и пр.

Если у вас есть другие вопросы или возникли трудности с приведением своих информационных систем в соответствие с требованиями по защите персональных данных, то вы можете обратиться в Контур.Безопасность. Наши специалисты проконсультируют и окажут квалифицированную помощь.


Cтатьи по теме

Согласно ст. 91 ТК РФ, работодатель обязан вести учет рабочего времени, фактически отработанного каждым работником. При этом под рабочим временем понимается время, в течение которого работник должен исполнять трудовые обязанности.

Рассмотрим правила оформления больничных и отпусков. 

Завершающим этапом трудовых отношений является увольнение работника — прекращение трудового договора с ним по основаниям, предусмотренным Трудовым Кодексом Российской Федерации.

Основные типы приказов о движении персонала: о приеме, о переводе, об увольнении.

Прием нового работника в организацию всегда сопровождается большим количеством документов, предъявляемых как со стороны работника, так и заполняемых специалистом отдела кадров. 

Вы всё ещё думаете? Просто попробуйте.